一、ISO27001起源和(he)發展

信息安全管(guan)理實用規則ISO/IEC27001的前(qian)身為(wei)(wei)英國的BS7799標準，該標準由(you)英國標準協會（BSI）于1995年(nian)2月提(ti)出，并于1995年(nian)5月修訂而成(cheng)的。1999年(nian)BSI重新(xin)修改了該標準。BS7799分為(wei)(wei)兩個部(bu)分：

BS7799-1，信息安全管理實施(shi)規則

BS7799-2，信息安全管理體系(xi)規范。

第(di)一部(bu)分對信息安(an)(an)全管理(li)給出建議，供負責在其(qi)組織啟動、實(shi)施(shi)或維護安(an)(an)全的(de)人員使(shi)用；第(di)二(er)部(bu)分說明了建立、實(shi)施(shi)和文件化信息安(an)(an)全管理(li)體系（ISMS）的(de)要(yao)求(qiu)，規定了根據獨立組織的(de)需要(yao)應實(shi)施(shi)安(an)(an)全控(kong)制的(de)要(yao)求(qiu)。

二、ISO27001新(xin)版修訂

自2005年國際(ji)標(biao)準(zhun)化組織(簡稱:ISO)將BS 7799轉化為ISO 27001：2005發布以來，此標(biao)準(zhun)在(zai)國際(ji)上獲得了(le)空前(qian)的(de)認可，相當(dang)數量的(de)組織采納并進行了(le)信息安全管理體系的(de)認證, 至(zhi)2011年底，國際(ji)上頒發的(de)ISO 27001認證證書總數約為15625張（其中，BSI的(de)市場占有率(lv)達約為45.65%）。

在我(wo)國(guo)(guo)(guo)，自從(cong)2008年將ISO 27001:2005轉化(hua)為國(guo)(guo)(guo)家標(biao)準GB/T 22080:2008以來，信(xin)息(xi)安(an)全(quan)管(guan)理體系認(ren)(ren)證(zheng)在國(guo)(guo)(guo)內進一步獲得(de)了全(quan)面(mian)推廣，至2011年底，國(guo)(guo)(guo)內頒發認(ren)(ren)證(zheng)證(zheng)書數量是1107張。越(yue)來越(yue)多的行業和組織認(ren)(ren)識到信(xin)息(xi)安(an)全(quan)的重要性，并把它作(zuo)為基礎管(guan)理工作(zuo)之一開(kai)展起來。

三、ISO27001認證的意義

信息安(an)全(quan)管(guan)理(li)(li)體系(xi)(xi)標準(zhun)（ISO27001)可(ke)有(you)效(xiao)保護信息資源,保護信息化(hua)進程(cheng)健康、有(you)序(xu)、可(ke)持(chi)續發(fa)展。ISO27001是信息安(an)全(quan)領域(yu)的(de)(de)(de)(de)管(guan)理(li)(li)體系(xi)(xi)標準(zhun)，類(lei)似于質(zhi)量(liang)管(guan)理(li)(li)體系(xi)(xi)認證(zheng)(zheng)的(de)(de)(de)(de) ISO9000標準(zhun)。當您(nin)的(de)(de)(de)(de)組織通過(guo)了(le)(le)ISO27001的(de)(de)(de)(de)認證(zheng)(zheng),就相(xiang)當于通過(guo)ISO9000的(de)(de)(de)(de)質(zhi)量(liang)認證(zheng)(zheng)一般，表示您(nin)的(de)(de)(de)(de)組織信息安(an)全(quan)管(guan)理(li)(li)已(yi)建立了(le)(le)一套科學(xue)有(you)效(xiao)的(de)(de)(de)(de)管(guan)理(li)(li)體系(xi)(xi)作為(wei)保障。根據 ISO27001 對您(nin)的(de)(de)(de)(de)信息安(an)全(quan)管(guan)理(li)(li)體系(xi)(xi)進行(xing)認證(zheng)(zheng)，可(ke)以帶來以下幾個好處:

1、引(yin)入(ru)信(xin)(xin)息(xi)(xi)安(an)(an)全(quan)(quan)管(guan)理(li)體系就可(ke)以(yi)協調各個方面(mian)信(xin)(xin)息(xi)(xi)管(guan)理(li)，從(cong)而使管(guan)理(li)更為有(you)(you)效。保(bao)證信(xin)(xin)息(xi)(xi)安(an)(an)全(quan)(quan)不(bu)是(shi)僅有(you)(you)一個防火(huo)墻，或找一個24小時提(ti)供信(xin)(xin)息(xi)(xi)安(an)(an)全(quan)(quan)服務(wu)的公司(si)就可(ke)以(yi)達到的。它(ta)需要全(quan)(quan)面(mian)的綜合管(guan)理(li)。

2、通(tong)過進(jin)行ISO27001信(xin)(xin)(xin)息安全管理(li)(li)體系認證，可(ke)以增(zeng)進(jin)組織間電子(zi)電子(zi)商務往來(lai)的(de)(de)(de)信(xin)(xin)(xin)用(yong)度(du)，能夠建立起網站和(he)貿易伙伴之(zhi)間的(de)(de)(de)互相信(xin)(xin)(xin)任，隨(sui)著(zhu)組織間的(de)(de)(de)電子(zi)交流的(de)(de)(de)增(zeng)加通(tong)過信(xin)(xin)(xin)息安全管理(li)(li)的(de)(de)(de)記錄可(ke)以看(kan)到信(xin)(xin)(xin)息安全管理(li)(li)明顯的(de)(de)(de)利益(yi)，并為廣(guang)大(da)用(yong)戶和(he)服(fu)務提供商提供一(yi)個基礎的(de)(de)(de)設備(bei)管理(li)(li)。同時，把組織的(de)(de)(de)干擾因素降(jiang)到最小(xiao)，創造更大(da)收益(yi)。

3、通過認證(zheng)能保證(zheng)和(he)證(zheng)明組(zu)織(zhi)所有的部門對信(xin)息安(an)全(quan)的承諾。

4、通過認證(zheng)可(ke)改善全體的(de)業績(ji)、消(xiao)除不信任感。

5、獲得(de)(de)國際認可(ke)的(de)機構的(de)認證證書，可(ke)得(de)(de)到國際上(shang)的(de)承認，拓展(zhan)您的(de)業務。

6、建立信(xin)息安全管理體系(xi)能降低這種風(feng)險，通過第三方(fang)的認證能增強投資者(zhe)及其他利益相關方(fang)的投資信(xin)心。

7、組(zu)(zu)織(zhi)按(an)照ISO27001標(biao)準建立信(xin)(xin)(xin)息(xi)安(an)全(quan)管理體(ti)系(xi)，會有(you)一(yi)定(ding)(ding)的(de)(de)(de)投(tou)入，但是若能通(tong)過(guo)認證(zheng)機關的(de)(de)(de)審(shen)核(he)，獲得認證(zheng)，將會獲得有(you)價值的(de)(de)(de)回(hui)報。企業通(tong)過(guo)認證(zheng)將可以向其(qi)(qi)客戶、競(jing)爭對(dui)手、供應商、員工(gong)和投(tou)資方(fang)展(zhan)示其(qi)(qi)在同行內(nei)的(de)(de)(de)領導地位;定(ding)(ding)期的(de)(de)(de)監督審(shen)核(he)將確保(bao)組(zu)(zu)織(zhi)的(de)(de)(de)信(xin)(xin)(xin)息(xi)系(xi)統不斷地被監督和改善，并以此作為增強(qiang)信(xin)(xin)(xin)息(xi)安(an)全(quan)性(xing)的(de)(de)(de)依(yi)據,信(xin)(xin)(xin)任(ren)、信(xin)(xin)(xin)用及(ji)信(xin)(xin)(xin)心,使客戶及(ji)利益相(xiang)關方(fang)感受到組(zu)(zu)織(zhi)對(dui)信(xin)(xin)(xin)息(xi)安(an)全(quan)的(de)(de)(de)承諾。

8、通過認證能夠向政府及行業主管(guan)部門證明組織對(dui)相關法律法規的(de)符合性。

四、ISO27001帶(dai)來的收益

1、通(tong)過(guo)定義、評估和(he)控制風險，確保經營的(de)持續(xu)性和(he)能(neng)力

2、減少由(you)于合同違規行為以及直接觸犯(fan)法律(lv)法規要求所造成的責任

3、通過遵守(shou)國際(ji)標(biao)準提高(gao)企業競爭能力，提升(sheng)企業形象

4、明(ming)確定(ding)義所(suo)有組織的(de)內部和外部的(de)信息接口目(mu)標：謹(jin)防(fang)數據(ju)的(de)誤用和丟失(shi)

5、建立安(an)全工具使用方針(zhen)

6、謹(jin)防技(ji)術訣(jue)竅的(de)丟失

7、在(zai)組(zu)織內部增強(qiang)安全意識

8、可作(zuo)為公共會(hui)計審計的證據

五、申請ISO27001認證所需材料

1、組(zu)織(zhi)法律證明文件(jian)，如營業執(zhi)照及(ji)年檢(jian)證明復印件(jian)（蓋(gai)公章）；

2、組織機構代碼證(zheng)(zheng)書復印件(jian)(jian)、稅務登記證(zheng)(zheng)復印件(jian)(jian)（蓋公章(zhang)）；

3、申(shen)請認證組織的信息安(an)全管理體系(xi)有(you)效運行(xing)的證明(ming)文件（如(ru)體系(xi)文件發布(bu)控(kong)制表，有(you)時間標記的記錄(lu)等復(fu)印件）；

4、申請組織的簡(jian)介：

（1）組織簡介（1000字左(zuo)右）；

（2）申請組織的主要(yao)業務流程；

（3）組織機構圖或職能表述文件(jian)；

5、申(shen)請組織的(de)體系文(wen)件，需包含但(dan)不(bu)僅限于(yu)（可以(yi)合并）：

5.1、信息安全管理體系(xi)ISMS方針(zhen)文件；

5.2、風險評估程序(xu)；

5.3、適(shi)用性聲明；

5.4、風(feng)險處理程(cheng)序；

5.5、文(wen)件控(kong)制程(cheng)序；

5.6、記錄(lu)控制(zhi)程(cheng)序；

5.7、內部審核程序(xu)；

5.8、管理評審程序；

5.9、糾正(zheng)措施與預防措施程序；

5.10、控(kong)制(zhi)措施有效性的測量程序；

5.11、職能(neng)角色(se)分配表(biao)；

5.12、整(zheng)個體系文件結構與清單(dan)。

6、申請組(zu)織體系文件與GB/T22080-2008/ISO/IEC 27001:2005要(yao)求的文件對(dui)照說明；

7、申請組織內部審(shen)核和管理評審(shen)的證明資料(liao)；

8、申請組織記(ji)錄保密性或(huo)敏感性聲明；

9、認證機構要求申請組織提(ti)交的其他補(bu)充資料。

六、ISO27001認(ren)證(zheng)流程

第一階段：現狀調研(yan)

從日常(chang)運維、管理機制、系(xi)統(tong)配置等(deng)方面對貴(gui)公司(si)信息安全管理安全現(xian)狀進行(xing)調研，通(tong)過培訓使(shi)貴(gui)公司(si)相關(guan)人員全面了解(jie)信息安全管理的基本知識(shi)。

第(di)二階段：風險評估

對(dui)貴公司信(xin)息(xi)資產進行資產價值、威脅因(yin)素、脆(cui)弱性分析，從而評估貴公司信(xin)息(xi)安全(quan)風(feng)(feng)險(xian)，選(xuan)擇適當的(de)措施、方法(fa)實現(xian)管理風(feng)(feng)險(xian)的(de)目的(de)。

第(di)三階段(duan)：管理策劃

根據貴公司(si)對信息(xi)安(an)全(quan)風險的(de)策略，制定相應(ying)信息(xi)安(an)全(quan)整(zheng)體規劃(hua)、管理規劃(hua)、技術規劃(hua)等(deng)，形成完整(zheng)的(de)信息(xi)安(an)全(quan)管理系統。

第四階(jie)段：體系實施

ISMS建立起來（體系文件正式發(fa)布實施）之后，要通(tong)過一(yi)定時(shi)間的試(shi)運行(xing)來檢(jian)驗其有效性和穩定性。

第(di)五階(jie)段：認證審核

經過一定(ding)時間運行，ISMS達到一個穩定(ding)的狀態，各項文(wen)檔和記錄(lu)已經建立完備，此時，可以提請進行認(ren)證。